Postbank: Stagefright-Problematik wird aktiv in Spam-Mails ausgenutzt

Die Sicherheitslücken in Android schüren die Ängste der Anwender. Dies nutzen Kriminelle aus und versprechen vermeintliche Sicherheit im Namen der Postbank. Die Nachrichten sind professionell aufgemacht und lassen sich nur schwer enttarnen. Ziel ist es jedoch ausschließlich, die Bankdaten der Opfer abzugreifen.

Vor allem die Sicherheitslücke in der Multimedia-Schnittstelle Stagefright hat in den vergangenen Wochen für Aufsehen gesorgt, da rund 95 Prozent aller Android-Geräte betroffen sind. Verschiedene Hersteller reagierten prompt und versprachen regelmäßige Updates und die Deutsche Telekom schaltete den MMS-Empfang kurzfristig ab.

Doch die Angst vor einem Angriff bleibt bestehen und dies nutzen Kriminelle aktiv aus. Die Postbank warnt in diesem Zusammenhang vor einer E-Mail, die mit der Überschrift „Stagefright-Virus bedroht Ihr Konto“ an potenzielle Opfer verschickt wird. Die E-Mail ist professionell aufgebaut und bietet kaum Anhaltspunkte für eine Fälschung. Allerdings handelt es sich bei Stagefright nicht um einen Virus. Dieser Tatsache dürften sich allerdings die wenigsten Laien bewusst sein. Inhaltlich werden in groben Zügen korrekt die Gefahren der Stagefright-Problematik wiedergegeben. Daraufhin wird dem Android-Nutzer eine Software angeboten, mit der der „Stagefright-Virus“ entfernt werden könne.

Klickt der Nutzer auf den Link in der E-Mail, wird er auf eine Website weitergeleitet, die ebenfalls mit großer Sorgfalt gefälscht wurde. Dort werden die E-Mail-Adresse sowie Kontonummer oder Benutzername und das Passwort oder die PIN abgefragt. Nach der Eingabe erhält der Nutzer eine E-Mail mit der vermeintlichen Sicherheits-Software, diese enthält allerdings lediglich einen Trojaner für das Android-Smartphone. Aufgrund der bereits eingegebenen Nutzerdaten können die Täter nun Bankgeschäfte durchführen und die dafür angeforderten mTANs abfangen und einsetzen.

Die Postbank betont ausdrücklich, dass keinerlei E-Mails mit einem solchen Inhalt von der Bank verschickt werden. Insbesondere fragt das Unternehmen nie Nutzerdaten via E-Mail oder über zusätzliche Seiten außerhalb des Online-Kontos ab. Diese Hinweise gelten nicht nur für die Postbank, sondern auch für zahlreiche andere Banken und Dienstleister. Im Zweifel sollten Nutzer zunächst den Absender der E-Mail überprüfen. Stammt die Nachricht nicht direkt von der Domain des Dienstleisters, ist dies ein erster Indiz für eine Fälschung. Auch die Links in der E-Mail können überprüft werden und bieten eine weitere Möglichkeit, gefälschte E-Mails zu enttarnen. Hierfür muss ohne Klicken des Links der Mauszeiger über den Link bewegt werden. Die dahinter versteckte URL wird anschließend in den meisten E-Mail-Programmen angezeigt.